《【大学课件】安全网管技术.ppt》由会员分享,可在线阅读,更多相关《【大学课件】安全网管技术.ppt(53页珍藏版)》请在三一办公上搜索。
1、1,安全网管技术,http:/,2,第7章 VPN技术及应用,本章主要内容VPN介绍Access VPNLAN-LAN VPNMPLS VPNL2VPN,http:/,3,参考资料:,参考资料:安全体系结构的设计、部署与操作,常晓波等译,清华大学出版社Cisco Networkers 2003SEC-2011:Deploying Site-to-Site IPSec VPNs,http:/,4,VPN介绍,Virtual Private Network 虚拟专用网虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服
2、务提供商),在公用网络中建立专用的数据通信网络的技术。利用像Internet这样的公共的或不安全的媒体,通过应用多种技术提供用户认证、数据完整性和访问控制,从而提供网络应用程序之间的安全通信。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。VPN不是一种单一的技术,而是具有若干特性的系统,http:/,5,VPN介绍,IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数
3、据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。本章讨论的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。,http:/,6,VPN的安全性,VPN的主要目的是保护传输数据必须具备4个关键功能认证:数据传输的来源确如其声明所言,目的地确实是数据期望到达的位置访问控制:限制对网络未经授权的访问机密性:防止数据在通过网络时被察看数据完整性:防止传输中对数据的任何篡改VPN的目的是保护从信道的一个端点到另一端点传输的
4、信息流信道的端点之前和之后,VPN不提供任何的数据包保护,http:/,7,为什么选择VPN,成本低是最大的优势传统方式是租用专线建设自己的网络系统Internet能以很低的代价提供高带宽的链路,缺点是安全性不高由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。如2M的专线,国内长途6000/月,对应的10M Internet链路一般2000/月,http:/,8,为什么选择VPN,灵活性高只要有Internet
5、链路,随时可以建立VPN链路对于单个用户,使用VPN可以在任何地方安全访问内部网,http:/,9,VPN的类型,每种VPN都具有特定的要求和优先权,实现的目的、解决的问题也不同用于移动工作者的远程访问Client-LAN VPN,也叫 Access VPN替代早期的拨号远程访问网络用于局域网间连接的PNLAN-LAN型IntranetVPN和ExtranetVPN,http:/,10,VPN的特性考虑,安全性隧道、加密、密钥管理、数据包认证、用户认证、访问控制可靠性硬件、软件、基础网络的可靠性可管理性记帐、审核、日志的管理是否支持集中的安全控制策略可扩展性成本的可扩展性,如使用令牌卡成本高性
6、能,是否考虑采用硬件加速加解密速度,http:/,11,VPN的特性考虑,可用性系统对应用尽量透明对终端用户来说使用方便互操作性尽量采用标准协议,与其他供应商的设备能互通服务质量 QoS通过Internet连接的VPN服务质量很大程度取决于Internet的状况多协议支持IPX?,http:/,12,VPN涉及的技术,隧道技术Tunnel,http:/,13,IP Tunnel,NSRC、NDST是隧道端点设备的IP地址公网上路由时仅仅考虑NSRC、NDST原始数据包的DST、SRC对公网透明,http:/,14,隧道技术,第二层隧道把网络数据包封装在PPP协议中,PPP协议的数据包放到隧道中
7、传输L2TP、PPTP(集成在windows中,所以最常用)第三层隧道把网络数据包指直接在隧道中传输IPsec利用隧道技术,理论上任何协议的数据都可以透过IP网络传输,http:/,15,加密/解密技术,对称加密技术速度快,常用的DES、3DES、IDEA等缺点是密钥传递不方便经常被用来对数据进行加/解密处理,提高保密性公钥加密技术速度慢,常用的RSA、Diffie-Hellman用于签名和会话的密钥交换哈希函数速度快产生的消息摘要用于信息的完整性检查,http:/,16,认证系统,VPN设备间的认证通过密码、密钥、证书等认证如果使用证书,可以考虑使用自己的CA或第三方的CA对于Access
8、VPN,对个人进行认证简单密码、一次性密码S/KEY、基于硬件的令牌(令牌卡、智能卡、PC卡、USB卡)生理ID(指纹、声音、视网膜扫描),http:/,17,安全协议,IPSec3层协议,直接传输网络协议数据包基于TCP/IP的标准协议,集成到IPv6中,仅仅传输IP协议数据包提供了强大的安全、加密、认证和密钥管理功能适合大规模VPN使用,http:/,18,安全协议,PPTPPoint-to-Point Tunnel Protocol,2层协议,需要把网络协议包封装到PPP包,PPP数据依靠PPTP协议传输PPTP通信时,客户机和服务器间有2个通道,一个通道是tcp 1723端口的控制连接
9、,另一个通道是传输GRE PPP数据包的IP隧道PPTP没有加密、认证等安全措施,安全的加强通过PPP协议的MPPE(Microsoft Point-to-Point Encryption)实现windows中集成了PPTP Server和Client,适合中小企业支持少量移动工作者如果有防火墙的存在或使用了地址转换,PPTP可能无法工作,http:/,19,安全协议,L2TP RFC2661定义在Cisco公司的L2F和PPTP的基础上开发使用并不普遍统计数字80%用PPTP,13%用Ipsec,http:/,20,VPN解决方案,一个VPN解决方案不仅仅是一个经过加密的隧道,它包含访问控制
10、、认证、加密、隧道传输、路由选择、过滤、高可用性、服务质量以及管理VPN系统大体分为4类专用的VPN硬件支持VPN的硬件或软件防火墙VPN软件VPN服务提供商前面提到的VPN是独立于网络服务提供商的,但是服务器提供商也会提供某种“VPN”接入,http:/,21,Access VPN,这种类型的VPN与传统的远程访问网络相对应。如果企业的内部人员移动或有远程办公需要,可以考虑使用AccessVPN。AccessVPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、
11、ISDN、数字用户线路(xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。,http:/,22,Access VPN,http:/,23,Access VPN,Access VPN工作时,远程客户通过拨号线路连接到ISP的NAS服务器上,经过身份认证后,通过公网跟公司内部的VPN网关之间建立一个隧道,利用这个隧道对数据进行加密传输。Access VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。一
12、般使用PPTP或L2TP技术,http:/,24,Access VPN,Access VPN对用户的吸引力在于:减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络;实现本地拨号接入的功能来取代远距离接入,显著降低远距离通信的费用;极大的可扩展性,简便地对加入网络的新用户进行调度;远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务;宽带网环境下提供高速的远程接入。,http:/,25,Access VPN的实现方式,客户驱动方式客户端首先建立与本地ISP的PPP连接,这时客户端可访问Internet,也可访问企业网设置的VPN网关。下一步就是建立到VPN网关的PPTP
13、连接,连接建立后,远程用户就好像在企业网内部一样。隧道起始于远程用户的计算机,终结于企业网内的VPN网关。远程用户经由Internet访问企业的网络和应用,而不再需要直接拨号至企业的网络。利用这种体系结构,用户并不需要ISP提供与VPN相关的附加服务。ISP也感知不到用户在使用VPN服务。这种方式一般使用PPTP协议。,http:/,26,Access VPN的实现方式,网络接入服务器(NAS)驱动的连接远端用户首先拨号到ISP的拨号服务器NAS。NAS在对用户进行身份验证时得知用户是一个VPN用户,然后NAS建立一条安全的、加密的隧道连接到企业网络的VPN网关。这条隧道起始于NAS,终结于企
14、业网内的VPN网关。利用由NAS驱动的体系结构,服务供应商对用户的身份进行验证;企业仍保留有控制他们自己的安全策略、对用户进行身份验证、授与用户访问权限并在网络上跟踪用户活动的权力。使用这种体系结构需要服务供应商支持,而且存在一个问题远端用户接入服务供应商的营业点之前的数据是未经加密的。这种方式一般使用L2TP协议。,http:/,27,Access VPN的实现方式,网络接入服务器(NAS)驱动的连接L2TP协议通过“虚拟拨号”业务将初始拨号服务器的地点和拨号协议所连接的终点分离开来。当“虚拟拨号”客户开始接入时,远程用户和它们的ISP的NAS之间就建立了一个PPP链路。ISP接着对端系统或
15、用户进行部分鉴别以判断此用户是否需要“虚拟拨号”业务,一旦确定需要,那么此用户名就会和VPN网络中心服务器联系起来。并在NAS和VPN中心服务器之间就建立了一条L2TP隧道。目前中国电信推出的VPDN服务就是采用这种方式。需要NAS、认证系统、计费系统、企业网VPN接入设备的支持就可以工作了。,http:/,28,Access VPN,http:/,29,Access VPN在无线网下的应用,由于无线网提供的加密/解密手段不多,很容易被窃听无线网用户通过在无线网上使用PPTP VPN来增强安全性无线网用户通过普通的网络连接到VPN Server,然后在无线网节点和VPN server间建立VP
16、NVPN可以保证从无线网节点到VPN Server之间的通信都是安全的,http:/,30,案例,需求:中国科学技术大学为外部移动用户提供VPN接入服务,接入VPN后的用户拥有校内用户完全相同的访问权限,以便访问各种校内外电子资源设计:建设一个Access VPN系统校内设置一台VPN服务器,运行Windows 2000 Server作为PPTP 接入服务器使用PPTP 接入服务器使用radius协议对用户的接入请求进行身份验证,http:/,31,科大的VPN解决方案,PPTP Server,Radius Server,Remote User,其中还要考虑策略路由,Internet出口,In
17、ternet,http:/,32,LAN-LAN型VPN,企业内部各分支机构的互连或者企业的合作者互连,使用LAN-LAN VPN是很好的方式。越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的LAN-LAN VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个LAN-LAN VPN上安全传输。,http:/,33,LAN-LAN型VPN,LAN-LAN
18、VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。,http:/,34,LAN-LAN 型VPN,http:/,35,LAN-LAN 型VPN的优势,减少WAN带宽的费用,Internet线路的租用费用远低于专线费用能使用更灵活的拓扑结构,包括全网络连接新的站点能更快、更容易地被连接通过设备供应商WAN的连接冗余,可以延长网络的可用时间。,http:/,36,LAN-LAN 型VPN,主要使用IPsec技术在ISP提供的不安全IP传输通道上,用户通过设置VPN网关,将多个地方的LAN连接起
19、来,并保证相关的安全性。使用这种方式,跟ISP相关的主要是价格和服务质量问题。价格上要解决如何保证这种方式能提供比租用专线更优的价格。服务质量要保证带宽、延迟、丢包率等参数,尤其是丢包率。,http:/,37,http:/,38,http:/,39,http:/,40,http:/,41,IPsec VPN优势,用户只要在具有Internet链路的基础上,增加IPsec VPN的网关设备即可利用IPsec VPN把局域网安全的互连带宽高VPN连接提供的带宽取决于加密/解密的的速度和2点间Internet带宽在安徽省电信公司宽带网络连接的2个100M站点间,建立的VPN带宽可达60Mbps以上灵活性高随时可以建立和取消VPN,http:/,42,IPsec VPN缺点,安全性由于跟Internet有“物理”连接,普遍认为保密的信息不宜在IPsec VPN 上传输稳定性带宽、延迟、丢包跟外部的ISP主干网运行状况密切相关,用户不可控,http:/,43,http:/,44,http:/,45,http:/,46,http:/,47,http:/,48,http:/,49,http:/,50,http:/,51,http:/,52,http:/,53,http:/,
